Một tuần sau khi sai sót bảo mật Java được công bố và bị tin tặc khai thác, Oracle mới cho bịt lại lỗ hổng này, vốn cho phép tin tặc cài đặt phần mềm độc hại trên máy tính nạn nhân.

Đầu tuần vừa rồi, hãng bảo mật AVG cảnh báo rằng lỗ hổng Java đang bị giới tin tặc lợi dụng để phát tán mã độc. Đây là lỗ hổng khá nghiêm trọng, ảnh hưởng tới phần lớn các hệ thống máy tính hiện nay.

Ngày 15/4, Oracle đã công bố phiên bản nâng cấp Java SE 6 v. 20 để khắc phục 3 lỗ hổng trong Java. Trong số đó có một lỗ hổng bị khai thác trong cuộc tấn công mà AVG nhắc tới tuần trước. Lỗ hổng này được một chuyên gia nghiên cứu bảo mật của Google phát hiện.

Theo Tavis Ormandy, nhà nghiên cứu của Google, lỗ hổng trên ảnh hưởng tới Java 6 v.10 và các phiên bản về trước. Cũng theo ông này, mới đầu nhóm phát triển Java có nói là lỗ hổng không nghiêm trọng tới mức hãng phải ban hành bản vá, nhưng trước làn sóng bị hacker khai thác, Oracle đã buộc phải đổi ý. Nếu ko có sự xáo trộn này thì đợt nâng cấp Java kế tiếp sẽ là vào tháng 6 tới.

Lỗ hổng mà Ormandy công bố nằm trong cách thức Web Start (một thành phần của Java) cho phép người dùng kích hoạt ứng dụng từ đường URL. Thông qua sai sót này, kẻ tấn công có thể điều khiển máy tính cài đặt thư viện Java độc hại rồi chạy mã độc trên hệ thống.

Cũng đầu tuần vừa rồi, AVG Technologies cho biết website về âm nhạc Songlyrics.com đã bị hack theo cách thức trên. Ngay sau khi bị hack, Songlyrics.com bị chuyển hướng truy cập về một máy chủ đặt tại Nga.

Theo VnMedia (PC World)



Bình luận

  • TTCN (0)